以前,我曾认为只要不随便运行网友发来的文件就不会中病毒或木马,但后来出现了利用漏洞传播的冲击波、震荡波;以前,我曾认为不上小网站就不会中网页木马,但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。
从此,我知道:安全,从来没有绝对的。虽然没有绝对的安全,但如果能知已知彼,了解木马的隐藏手段,对于木马即使不能百战百胜,也能做到及时发现,使损失最小化。那么,木马究竟是如何躲在我们的系统中的呢?
最基本的隐藏:不可见窗体+隐藏文件
木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:
1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。
2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。
其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马(见图1),于是便出现了下面要介绍的“进程隐藏”技术。
第一代进程隐藏技术:Windows 98的后门
在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。
要对付这种隐藏的木马还算简单,只需使用其他第三方进程管理工具即可找到其所在,并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术,就没有这么简单对付了。 
更多内容请看安全频道 病毒/木马/恶意软件 病毒/木马/蠕虫专题,或进入讨论组讨论。
·ARP以及如何防范ARP欺骗技术 (7210次浏览)
·网吧防黑之ARP防御双绑批处理篇 (3412次浏览)
·武装到牙齿 07个人电脑安全配置手册 (3055次浏览)
·修改系统设置 打造安全的个人电脑 (2984次浏览)
·我有金钟罩 个人电脑安全秘技20招 (1340次浏览)
·高手详解:木马和病毒清除的通用解法 (1289次浏览)
·解析Windows中帐户和权限功能二(组图) (1190次浏览)
·14招保护路由器安全的方法 (1113次浏览)
·ADSL路由器防止黑客攻击十大秒法 (609次浏览)
·移动存储介质的安全性依然困扰用户 10-28
·以加密技术构造最安全的虚拟存储系统 10-28
·飞康“磁带库加速器”增强行业标准带库的性能与安 10-28
·NetApp将发力安全、集群与虚拟磁带 10-28
·思科、微软宣布将整合技术及产业规格 共铸网络安全 10-28
·msystems发布企业用U盘管理方案 可智能安全管理 10-28
·NetApp收购存储安全专家Decru 料将引发连锁反应 10-28
·Broadcom酝酿存储安全标准——发布存储管理软件Xel 10-28
·Sun StorageTek:存储安全 亲密无间 10-28
